Microsoft Defender门户中的Microsoft Defender for Identity
适用于:
Microsoft Defender for Identity现在是 Microsoft Defender 门户的一部分,该门户用于监视和管理 Microsoft 标识、数据、设备、应用和基础结构的安全性。 Microsoft Defender门户允许安全管理员在一个位置执行其安全任务,从而简化工作流并集成其他Microsoft Defender XDR服务的功能。
Microsoft Defender for Identity向Microsoft Defender门户呈现的事件和警报提供标识重点信息。 此信息是提供上下文和关联来自Microsoft Defender XDR内其他产品的警报的关键。
Microsoft Defender门户中的聚合体验
Microsoft Defender门户结合了保护、检测、调查和响应电子邮件、协作、标识和设备威胁的安全功能,现在包括旧版 Defender for Identity 门户中提供的所有功能。
虽然数据放置可能与经典 Defender for Identity 门户不同,但数据现在已集成到“Microsoft Defender”门户页中,以便你可以跨所有受监视实体查看数据。
以下部分介绍在 Microsoft Defender 门户中发现的增强型 Defender for Identity 功能。
注意
使用经典 Defender for Identity 门户的客户现在会自动重定向到 Microsoft Defender 门户,没有还原回到经典门户的选项。
配置和态势
| 领域 | 说明 |
|---|---|
| 全局排除项 | 全局排除允许你定义要跨所有 Defender for Identity 检测排除的某些实体,例如 IP 地址、设备或域。 例如,如果仅排除设备,则排除仅适用于在检测过程中具有 设备 标识的检测。 有关详细信息,请参阅 全局排除实体。 |
| 管理操作和目录服务帐户 | 你可能希望通过禁用其帐户或重置其密码来响应受到攻击的用户。 执行上述任一操作时,默认情况下,Microsoft Defender门户配置为使用本地系统帐户。 因此,只需配置操作和目录服务帐户设置(如果想要拥有更多控制权),并定义其他用户帐户来执行用户修正操作。 有关详细信息,请参阅Microsoft Defender for Identity操作帐户。 |
| 自定义权限角色 | Microsoft Defender门户支持自定义权限角色。 有关详细信息,请参阅Microsoft Defender XDR基于角色的访问控制 (RBAC) |
| Microsoft 安全功能分数 | Microsoft 安全功能分数中提供了 Defender for Identity 安全状况评估。 每个评估都是一份可下载的报告,其中包含使用说明和工具,用于构建修正或解决问题的行动计划。 按 标识 筛选 Microsoft 安全功能分数以查看 Defender for Identity 评估。 有关详细信息,请参阅Microsoft Defender for Identity的安全状况评估。 |
| API | 将以下任一Microsoft Defender XDR API 与 Defender for Identity 配合使用: - 通过 API 查询活动 - 通过 API 管理安全警报 - 向 Microsoft Sentinel Stream安全警报和活动 提示:Microsoft Defender门户仅存储高级搜寻数据 30 天。 如果需要更长的保留期,请将活动流式传输到 Microsoft Sentinel 或其他合作伙伴安全信息和事件管理 (SIEM) 系统。 |
| 载入 | Defender for Identity 现在对新客户自动载入,无需配置工作区。 如果需要删除实例,请创建 Microsoft 支持案例。 |
调查
| 领域 | 说明 |
|---|---|
| 标识 区域 | 在“Microsoft Defender”门户中,展开“标识”区域以查看包含常用数据的图形和小组件的仪表板、“运行状况问题”页(列出 Defender for Identity 部署的所有运行状况问题)和“工具”页,其中包含常用工具和文档的链接。 有关详细信息,请参阅查看 ITDR 仪表板和 Defender for Identity 运行状况问题。 |
| “标识”页 | Microsoft Defender门户标识详细信息页提供有关每个标识的包容性数据,例如: - 任何关联的警报 - Active Directory 帐户控制 - 有风险的横向移动路径 - 活动和警报时间线 - 有关观察到的位置、设备和组的详细信息。 有关详细信息,请参阅在 Microsoft Defender 门户中调查用户。 |
| “设备”页 | Microsoft Defender门户警报证据列出了连接到每个可疑活动的所有设备和用户。 通过在警报中选择特定设备来进一步调查以访问设备详细信息页。 有关详细信息,请参阅调查Microsoft Defender for Endpoint设备列表中的设备。 |
| 高级搜寻 | Microsoft Defender门户可帮助你使用高级搜寻查询主动搜索威胁和恶意活动。 这些功能强大的查询可用于查找和查看已知威胁和潜在威胁的威胁指标和实体。 从高级搜寻查询生成自定义检测规则,帮助你主动watch可能指示违规活动和错误配置设备的事件。 有关详细信息,请参阅在 Microsoft Defender 门户中使用高级搜寻主动搜寻威胁。 |
| 全局搜索 | 使用Microsoft Defender门户页面顶部的搜索栏搜索Microsoft Defender XDR监视的任何实体,包括标识、终结点、Office 365数据、Active Directory 组 (预览版) 等。 直接从搜索下拉列表中选择结果,或选择 “所有用户 ”或“ 所有设备 ”,以查看与给定搜索词关联的所有实体。 |
| 横向移动路径 | 除了用户详细信息页上的“横向移动路径”选项卡外,Microsoft Defender门户在“高级搜寻”页和“横向移动路径安全评估”上提供横向移动路径数据。 有关详细信息,请参阅了解和调查Microsoft Defender for Identity) (LMP 的横向移动路径。 |
检测和响应
| 领域 | 说明 |
|---|---|
| 警报和事件关联 | Defender for Identity 警报现在包含在Microsoft Defender门户的警报队列中,使其可用于自动事件关联功能。 在一个位置查看所有警报,并比以前更快地确定违规范围。 有关详细信息,请参阅在 Microsoft Defender 门户中调查 Defender for Identity 警报。 |
| 警报排除 | Microsoft Defender门户的警报界面更加用户友好,并包括搜索功能和全局排除项,这意味着可以从 Defender for Identity 生成的所有警报中排除任何实体。 有关详细信息,请参阅在 Microsoft Defender XDR 中配置 Defender for Identity 检测排除项。 |
| 警报优化 | 警报优化(以前称为 警报抑制)可用于调整和优化警报。 警报优化可以减少误报,使 SOC 团队能够专注于高优先级警报,并改进整个系统的威胁检测覆盖范围。 在Microsoft Defender XDR中,基于证据类型创建规则条件,然后将规则应用于与条件匹配的任何规则类型。 有关详细信息,请参阅 优化警报。 |
| 修正操作 | Microsoft Defender门户用户详细信息页提供了 Defender for Identity 修正操作,例如禁用帐户或要求重置密码。 有关详细信息,请参阅 Microsoft Defender for Identity 中的修正操作。 |
快速参考
下表列出了Microsoft Defender for Identity和Microsoft Defender门户之间的导航更改。
| Defender for 身份 | Microsoft Defender门户 |
|---|---|
| TimeLine | - Microsoft Defender门户警报/事件队列 |
| 报告 | Microsoft Defender门户中的“报表标识>报表>管理”页提供了以下类型的报表,可以立即下载或计划定期发送电子邮件: - 应处理警报和运行状况问题的摘要报告。 - 每次对敏感组进行修改时的列表。 - 源计算机和帐户密码的列表,这些密码被检测为以明文形式发送。 - 横向移动路径中公开的敏感帐户的列表。 有关详细信息,请参阅 报表管理。 |
| “标识”页 | Microsoft Defender门户用户详细信息页 |
| “设备”页 | Microsoft Defender门户设备详细信息页 |
| “组”页 | Microsoft Defender门户组侧窗格 |
| “警报”页 | Microsoft Defender门户警报详细信息页 提示:使用警报优化来优化在 Microsoft Defender 门户中看到的警报。 |
| 搜索 | Microsoft Defender门户全局搜索 |
| 运行状况问题 | Microsoft Defender门户标识>运行状况问题 |
| 实体活动 | - 高级搜寻 - 设备页面 >时间线 - “标识页 >时间线 ”选项卡 - “组 ”窗格“ >时间线 ”选项卡 |
| 设置 | Settings ->Identities |
| 用户和帐户 | Assets ->Identities |
| 标识安全态势 | Microsoft Defender for Identity的安全状况评估 |
| 载入新工作区 | 设置 ->标识 (自动) |
| About | 设置 > 标识 > 关于 |
后续步骤
有关更多信息,请参阅:
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。